TOMs im Grundschutz

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Im Rahmen des Datenschutzes ist die wirksame Umsetzung von technischen und organisatorischen Maßnahmen (TOM) von entscheidender Bedeutung. Der IT-Grundschutz bietet hierfür eine fundierte Grundlage. In diesem Artikel wird erläutert, wie die Anforderungen des IT-Grundschutzes den TOMs zugeordnet werden können. Dies hilft nicht nur bei der Erfüllung gesetzlicher Vorgaben, sondern auch bei der systematischen Absicherung von IT-Systemen und Prozessen.

Dir folgende Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem BSI IT-Grundschutz Kompendium (Edition 2023) dar:

TOM Passende Grundschutz-Anforderungen
Datenverschlüsselung APP.1.1.A15: Einsatz von Verschlüsselung und Digitalen Signaturen
APP.5.4.A6: Verschlüsselung von UCC-Daten
CON.7.A10: Verschlüsselung tragbarer IT-Systeme und Datenträger
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
NET.4.2.A8: Verschlüsselung von VoIP
OPS.2.2.A17: Einsatz von Verschlüsselung bei Cloud-Nutzung
SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen
SYS.3.1.A13: Verschlüsselung von Laptops
SYS.3.2.1.A11: Verschlüsselung des Speichers
SYS.4.5.A12: Schutz vor Schadsoftware
Eingabekontrolle CON.7.A13: Mitnahme notwendiger Daten und Datenträger
CON.11.1.A13: Löschung elektronischer VS, Vernichtung von Datenträgern und IT-Produkten nach §§ 32, 56 und Nr. 8 Anlage V zur VSA
DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen
DER.2.2.A9: Vorauswahl forensisch relevanter Daten
INF.9.A2: Regelungen für mobile Arbeitsplätze
NET.2.1.A1: Festlegung einer Strategie für den Einsatz von WLANs
OPS.1.1.2.A5: Nachweisbarkeit von administrativen Tätigkeiten
OPS.1.1.2.A11: Dokumentation von IT-Administrationstätigkeiten
SYS.1.1.A21: Betriebsdokumentation für Server
SYS.2.1.A40: Betriebsdokumentation
Protokollierung APP.1.4.A15: Durchführung von Penetrationstests für Apps
APP.2.1.A19: Umgang mit anonymen Zugriffen auf Verzeichnisdienste
APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste
APP.5.4.A13: Sichere Administration von SIP-Trunks
CON.6.A1: Regelung für die Löschung und Vernichtung von Informationen
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
CON.10.A12: Verifikation essenzieller Änderungen
NET.3.2.A14: Betriebsdokumentationen
OPS.1.1.3.A1: Konzept für das Patch- und Änderungsmanagement
OPS.1.1.7.A26: Entkopplung von Zugriffen auf die Systemmanagement-Lösung
Pseudonymisierung APP.1.1.A17: Sensibilisierung zu spezifischen Office-Eigenschaften
APP.6.A10: Erstellung einer Sicherheitsrichtlinie zur Pseudonymisierung
DER.3.1.A4: Regelung zur Verwendung von Pseudonymisierungsverfahren
INF.2.A11: Einführung von Pseudonymisierungstechniken bei der Erfassung von Daten
OPS.1.1.5.A1: Etablierung einer Richtlinie zur Pseudonymisierung von Daten
CON.10.A18: Kryptografische Absicherung vertraulicher Daten
CON.11.1.A5: Regelung zum Einsatz von Pseudonymisierungsverfahren nach §§ 32, 56 VSA
OPS.2.3.A10: Einführung von Pseudonymisierungsmaßnahmen für personenbezogene Daten
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
CON.11.1.A14: Pseudonymisierung bei der Verarbeitung von Daten nach §§ 32, 56 VSA
Transportkontrolle CON.7.A13: Mitnahme notwendiger Daten und Datenträger
OPS.1.2.2.A21: Schutz der Integrität bei der Übertragung von Daten
SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen
SYS.4.5.A12: Schutz vor Schadsoftware
SYS.2.2.3.A5: Schutz der Integrität bei der Übertragung von Daten
OPS.1.1.4.A1: Sicherstellung der Integrität von Daten während der Übertragung
CON.10.A7: Schutz vertraulicher Daten
OPS.1.2.2.A4: Schutz der Integrität bei der Übertragung von Daten
OPS.3.2.A20: Verschlüsselung von Daten während der Übertragung
APP.5.4.A10: Schutz der Integrität von UCC-Daten während der Übertragung
Verfügbarkeitskontrolle OPS.1.1.3.A10: Sicherstellung der Verfügbarkeit kritischer Systeme
SYS.3.1.A11: Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen
SYS.3.3.A9: Implementierung von Hochverfügbarkeitslösungen
INF.2.A7: Maßnahmen zur Sicherstellung der Verfügbarkeit von Daten
OPS.2.2.A15: Schutz vor Verlust der Verfügbarkeit bei Systemausfällen
APP.4.3.A23: Sicherstellung der Verfügbarkeit von Anwendungsdaten
DER.2.2.A4: Maßnahmen zur Sicherstellung der Datenverfügbarkeit in Notfällen
ORP.1.A15: Implementierung von Verfügbarkeitskonzepten
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
SYS.2.1.A27: Implementierung von Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen
Wiederherstellbarkeit INF.5.A12: Einführung von Maßnahmen zur Datenwiederherstellung
DER.2.1.A6: Implementierung von Datenwiederherstellungsprozessen
SYS.4.5.A2: Einführung von Wiederherstellungsverfahren bei Systemausfällen
SYS.3.3.A2: Implementierung von Backup-Strategien zur Datenwiederherstellung
APP.1.1.A16: Maßnahmen zur Wiederherstellung von Anwendungsdaten
CON.6.A4: Einführung von Datenwiederherstellungsverfahren
SYS.4.5.A10: Einführung von Datenwiederherstellungsverfahren nach Malware-Angriffen
CON.3.A13: Einführung von Datenwiederherstellungsverfahren nach IT-Sicherheitsvorfällen
CON.1.A1: Einführung von Maßnahmen zur Wiederherstellung der Verfügbarkeit von Daten
SYS.3.2.1.A18: Einführung von Maßnahmen zur Wiederherstellung von IT-Systemen
Zugangskontrolle CON.3.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme
OPS.1.2.4.A2: Einführung von Maßnahmen zur Zugangskontrolle in IT-Räumen
INF.9.A4: Implementierung von Zugangskontrollmechanismen
CON.11.1.A5: Einführung von Zugangskontrollverfahren
CON.7.A7: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme
NET.4.1.A18: Implementierung von Zugangskontrollmechanismen für Netzwerke
OPS.1.2.5.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume
OPS.1.1.2.A16: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme
CON.11.1.A14: Implementierung von Zugangskontrollmechanismen für Netzwerke
OPS.1.1.2.A27: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume
Zugriffskontrolle APP.2.1.A11: Einführung von Maßnahmen zur Zugriffskontrolle für Anwendungen
ORP.4.A16: Implementierung von Zugriffskontrollmechanismen
OPS.1.1.7.A6: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme
SYS.4.1.A7: Einführung von Maßnahmen zur Zugriffskontrolle für Netzwerke
OPS.1.1.7.A17: Implementierung von Zugriffskontrollmechanismen
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
SYS.3.2.2.A17: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme
INF.1.A7: Implementierung von Zugriffskontrollmechanismen
INF.5.A3: Einführung von Maßnahmen zur Zugriffskontrolle für Daten
ORP.4.A14: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme
Zutrittskontrolle INF.1.A13: Implementierung von Maßnahmen zur Zutrittskontrolle
ISMS.1.A7: Einführung von Zutrittskontrollmechanismen
NET.1.1.A31: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume
OPS.1.1.7.A21: Einführung von Zutrittskontrollmechanismen
INF.6.A2: Implementierung von Maßnahmen zur Zutrittskontrolle
NET.1.1.A32: Einführung von Zutrittskontrollmechanismen für IT-Räume
CON.1.A16: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume
SYS.1.1.A1: Einführung von Zutrittskontrollmechanismen für IT-Systeme
OPS.1.1.2.A16: Einführung von Maßnahmen zur Zutrittskontrolle für IT-Räume
INF.2.A6: Implementierung von Zutrittskontrollmechanismen für IT-Systeme
Auftragskontrolle CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste
CON.11.1.A3: Einsatz von IT-Sicherheitsprodukten nach §§ 51, 52 VSA
CON.10.A7: Schutz vertraulicher Daten
SYS.2.1.A8: Absicherung des Bootvorgangs
SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients
SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten
INF.6.A8: Sichere Türen und Fenster
CON.10.A18: Kryptografische Absicherung vertraulicher Daten
Datenschutz-Folgenabschätzung CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA
DER.4.A15: Durchführung einer Datenschutz-Folgenabschätzung für neue Technologien
DER.3.1.A8: Erstellung eines Konzepts zur Risikobewertung von neuen Technologien
APP.6.A7: Regelmäßige Überprüfung und Anpassung der Datenschutz-Maßnahmen
OPS.2.3.A19: Durchführung von Datenschutz-Folgenabschätzungen bei Änderungen in der IT-Infrastruktur
OPS.1.1.4.A10: Sicherstellung der Einhaltung von Datenschutzbestimmungen bei Outsourcing
OPS.2.2.A1: Regelung der Verarbeitung von personenbezogenen Daten durch externe Dienstleister
DER.3.1.A6: Etablierung eines Prozesses zur kontinuierlichen Bewertung von Datenschutzrisiken
OPS.3.2.A8: Durchführung von Audits zur Überprüfung der Datenschutz-Maßnahmen
DER.3.1.A4: Implementierung von Maßnahmen zur Risikominimierung bei der Verarbeitung von personenbezogenen Daten
Schulung und Sensibilisierung ORP.3.A6: Regelmäßige Schulungen der Mitarbeitenden zu Datenschutzthemen
CON.3.A5: Sensibilisierung der Mitarbeitenden für den Umgang mit personenbezogenen Daten
DER.1.A7: Durchführung von Schulungen zu Datenschutzbestimmungen für Führungskräfte
CON.8.A18: Erstellung von Sensibilisierungsmaterialien für Mitarbeitende
ORP.2.A14: Regelmäßige Überprüfung und Aktualisierung der Schulungsinhalte
INF.1.A36: Etablierung eines kontinuierlichen Schulungsprogramms für Datenschutz
OPS.1.2.4.A8: Sensibilisierung der Mitarbeitenden für den sicheren Umgang mit IT-Systemen
ISMS.1.A8: Durchführung von Schulungen zu IT-Sicherheitsrichtlinien
OPS.1.2.2.A7: Erstellung von Schulungsmaterialien zu Datenschutzbestimmungen
OPS.1.2.4.A5: Durchführung von Sensibilisierungskampagnen für den sicheren Umgang mit Daten
Trennungsgebot SYS.3.3.A9: Implementierung von Maßnahmen zur Trennung von Datenbeständen
SYS.4.5.A12: Schutz vor Schadsoftware
SYS.3.1.A11: Sicherstellung der Trennung von Entwicklungs- und Produktionsumgebungen
OPS.2.2.A15: Sicherstellung der Trennung von Daten in Cloud-Diensten
OPS.1.1.3.A10: Sicherstellung der Trennung von Daten in IT-Systemen
OPS.1.2.2.A5: Trennung von Daten in Archivsystemen
CON.10.A7: Schutz vertraulicher Daten durch Trennung von Zugriffsberechtigungen
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
INF.10.A6: Sicherstellung der Trennung von Daten durch physische Sicherheitsmaßnahmen
SYS.2.1.A27: Trennung von Datenbeständen bei der Außerbetriebnahme von IT-Systemen
Zweckbindung SYS.4.5.A12: Schutz vor Schadsoftware
OPS.1.2.4.A2: Sicherheitstechnische Anforderungen an den Telearbeitsrechner
SYS.3.3.A9: Implementierung von Maßnahmen zur Sicherstellung der Zweckbindung von Daten
SYS.3.1.A11: Sicherstellung der Zweckbindung von Daten bei der Verarbeitung in IT-Systemen
OPS.1.1.3.A10: Sicherstellung der Zweckbindung von Daten in IT-Systemen
OPS.2.2.A15: Sicherstellung der Zweckbindung von Daten in Cloud-Diensten
CON.10.A7: Schutz vertraulicher Daten durch Sicherstellung der Zweckbindung
CON.7.A13: Mitnahme notwendiger Daten und Datenträger
OPS.1.2.2.A5: Sicherstellung der Zweckbindung bei der Verarbeitung von Daten in Archivsystemen
SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten
Vorfallmanagement DER.2.1.A2: Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen
DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen
DER.2.1.A7: Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen
DER.2.1.A18: Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen
DER.2.1.A19: Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
DER.2.1.A22: Überprüfung der Effizienz des Managementsystems zur Behandlung von Sicherheitsvorfällen
DER.4.A9: Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse
OPS.1.1.4.A9: Meldung von Infektionen mit Schadprogrammen
OPS.2.3.A20: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept
OPS.3.2.A14: Überwachung der Prozesse, Anwendungen und IT-Systeme
Weitergabekontrolle APP.2.1.A2: Planung des Einsatzes von Verzeichnisdiensten
CON.3.A13: Einsatz kryptografischer Verfahren bei der Datensicherung
CON.9.A5: Beseitigung von Restinformationen vor Weitergabe
CON.10.A7: Schutz vertraulicher Daten
OPS.1.1.3.A10: Sicherstellung der Integrität und Authentizität von Softwarepaketen
OPS.2.2.A15: Sicherstellung der Portabilität von Cloud-Diensten
SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients
SYS.3.1.A7: Geregelte Übergabe und Rücknahme eines Laptops
SYS.3.1.A11: Sicherstellung der Energieversorgung von Laptops
SYS.3.3.A9: Sicherstellung der Energieversorgung von Mobiltelefonen